關(guān)于信息安全風(fēng)險(xiǎn)管理初探的論文

　　摘要：對(duì)信息安全風(fēng)險(xiǎn)管理中存在的問題做了具體分析，并提出了一些有效策略。

　　關(guān)鍵詞：信息；安全；風(fēng)險(xiǎn)管理

　　引言

　　對(duì)于企業(yè)單位而言，信息資源是支撐工作正常運(yùn)行的關(guān)鍵，囊括了企業(yè)的知識(shí)產(chǎn)權(quán)、重要數(shù)據(jù)、工作人員、信息處理設(shè)施等。信息安全風(fēng)險(xiǎn)管理成為企業(yè)單位的重要管理工作。但是目前我國(guó)企業(yè)單位的信息安全風(fēng)險(xiǎn)管理中存在著大量的問題，亟待解決，須采取有效的策略，才能保障企業(yè)單位的綜合發(fā)展。

　　1信息安全風(fēng)險(xiǎn)管理中存在的問題

　　國(guó)內(nèi)的企業(yè)單位在信息安全風(fēng)險(xiǎn)管理方面都存在著一定的技術(shù)引導(dǎo)性，缺乏必要的流程控制和制度保障。認(rèn)為信息安全的建設(shè)只要有高科技的安全技術(shù)設(shè)備，就萬無一失了。但事實(shí)并非如此，信息技術(shù)的發(fā)展雖然促進(jìn)了信息安全風(fēng)險(xiǎn)問題的解決，但是沒有嚴(yán)格有效的管理，依舊會(huì)產(chǎn)生風(fēng)險(xiǎn)問題。所以說只依賴于科學(xué)技術(shù)并不能從根本上解決所有的信息安全風(fēng)險(xiǎn)問題，只有技術(shù)和相應(yīng)的流程有效配合才能完成企業(yè)單位的信息安全風(fēng)險(xiǎn)管理工作[1]。

　　1.1信息風(fēng)險(xiǎn)意識(shí)不強(qiáng)

　　企業(yè)單位對(duì)于信息安全風(fēng)險(xiǎn)的問題和影響缺乏認(rèn)識(shí)，管理層的重視程度不夠，通常只有在出現(xiàn)問題時(shí)，才會(huì)采取相應(yīng)的策略，沒有持續(xù)性。目前，我國(guó)許多企業(yè)單位的信息安全風(fēng)險(xiǎn)管理方面的財(cái)力和人力投入太小，嚴(yán)重忽視了相關(guān)資源的投入，原有風(fēng)險(xiǎn)和新風(fēng)險(xiǎn)逐漸積累，攢下了許多的風(fēng)險(xiǎn)隱患。還有部分企業(yè)單位過于注重信息系統(tǒng)的運(yùn)行階段，忽視了隱藏在系統(tǒng)開發(fā)和建設(shè)階段的風(fēng)險(xiǎn)，在系統(tǒng)的穩(wěn)定性和安全性方面留下嚴(yán)重的隱患。而且，企業(yè)單位對(duì)于信息安全風(fēng)險(xiǎn)的認(rèn)識(shí)嚴(yán)重不足，沒有切實(shí)意識(shí)到業(yè)務(wù)和客戶數(shù)據(jù)的集中也會(huì)引發(fā)風(fēng)險(xiǎn)的集中，缺乏對(duì)于控制風(fēng)險(xiǎn)和分散風(fēng)險(xiǎn)的慎重考慮。

　　1.2缺少風(fēng)險(xiǎn)管理人才

　　信息安全風(fēng)險(xiǎn)管理不僅要依靠技術(shù)，更依靠于人才。信息安全風(fēng)險(xiǎn)管理工作的最終效果根本上還是取決于人才。信息安全風(fēng)險(xiǎn)管理人才不僅要具備風(fēng)險(xiǎn)管理才能，還要具有良好的綜合素質(zhì)和專業(yè)素養(yǎng)。我國(guó)企業(yè)單位嚴(yán)重缺乏這樣的風(fēng)險(xiǎn)管理專業(yè)人才，大多數(shù)管理人才由于缺乏信息技術(shù)專業(yè)知識(shí)，對(duì)于信息資產(chǎn)和脆弱性的識(shí)別不能做出準(zhǔn)確的判斷，無法對(duì)信息安全風(fēng)險(xiǎn)狀況進(jìn)行正確判斷，從而對(duì)企業(yè)單位的信息安全風(fēng)險(xiǎn)管理造成一定的影響。

　　1.3缺乏風(fēng)險(xiǎn)統(tǒng)一管理

　　我國(guó)大多企業(yè)單位都十分重視風(fēng)險(xiǎn)事項(xiàng)的具體管理，卻嚴(yán)重忽視了風(fēng)險(xiǎn)的整體控制和管理。在實(shí)施信息安全風(fēng)險(xiǎn)管理的過程中，將主要精力和時(shí)間投入到了具體事項(xiàng)的'風(fēng)險(xiǎn)管理中，卻忽略了整體把握，沒有切實(shí)關(guān)注信息安全風(fēng)險(xiǎn)流程管理和技術(shù)之間的密切聯(lián)系。所以，最終導(dǎo)致信息安全風(fēng)險(xiǎn)管理的資源分配嚴(yán)重不均勻，缺乏統(tǒng)一的風(fēng)險(xiǎn)管理，從而對(duì)企業(yè)單位的整體信息安全風(fēng)險(xiǎn)管理的效果造成了嚴(yán)重影響。

　　1.4忽視信息風(fēng)險(xiǎn)預(yù)防和應(yīng)急

　　現(xiàn)階段，我國(guó)的大部分企業(yè)單位的信息安全風(fēng)險(xiǎn)管理基本上是憑借自身的長(zhǎng)期經(jīng)驗(yàn)加以管理，一般是事后風(fēng)險(xiǎn)管理。采取這種就事論事的管理方式，已經(jīng)無法適應(yīng)我國(guó)企業(yè)單位對(duì)信息化技術(shù)的依賴需求了。對(duì)于信息安全風(fēng)險(xiǎn)的預(yù)防和應(yīng)急管理形同虛設(shè)，基本上停留在已有的規(guī)章制度檢查階段，風(fēng)險(xiǎn)評(píng)估工作也始終停滯在定性評(píng)估上，嚴(yán)重缺乏對(duì)風(fēng)險(xiǎn)的定量分析，這樣的風(fēng)險(xiǎn)預(yù)防和應(yīng)急策略，將會(huì)嚴(yán)重影響企業(yè)單位的發(fā)展。

　　2信息安全風(fēng)險(xiǎn)管理的有效策略

　　2.1樹立信息安全風(fēng)險(xiǎn)觀念

　　樹立信息安全風(fēng)險(xiǎn)觀念主要從四方面進(jìn)行，即優(yōu)化配置，積極防御，全面統(tǒng)籌，強(qiáng)化內(nèi)控。我國(guó)大多數(shù)企業(yè)單位的相關(guān)配置還不夠完善、優(yōu)化，因此首先必須要優(yōu)化配置，做到標(biāo)準(zhǔn)化和規(guī)范化，消除其中存在的隱患。而且，要積極建立有效的防御機(jī)制，控制未發(fā)生風(fēng)險(xiǎn)事件和已發(fā)生風(fēng)險(xiǎn)事件帶來的影響。同時(shí)，企業(yè)單位還要強(qiáng)化內(nèi)部控制，明確系統(tǒng)開發(fā)人員和風(fēng)險(xiǎn)管理人員的職責(zé)，保證內(nèi)部控制工作的有效開展。另，信息安全風(fēng)險(xiǎn)管理工作的開展，須自上而下，建立領(lǐng)導(dǎo)重視、部門協(xié)同參與的工作機(jī)制，發(fā)揮優(yōu)勢(shì)，積極配合，將信息安全風(fēng)險(xiǎn)管理工作貫徹落實(shí)。

　　2.2建立健全的信息安全風(fēng)險(xiǎn)控制機(jī)制

　　在信息安全風(fēng)險(xiǎn)管理工作中，風(fēng)險(xiǎn)控制機(jī)制起著基礎(chǔ)性的根本作用，只有具備了良好的風(fēng)險(xiǎn)控制機(jī)制，才能使整個(gè)管理系統(tǒng)與自適應(yīng)系統(tǒng)更加接近，從而在外部條件不發(fā)生變化的同時(shí)，能夠迅速地做出反應(yīng)，進(jìn)行策略調(diào)整，實(shí)現(xiàn)優(yōu)化目標(biāo)，保持良好的管理水平，保證信息安全風(fēng)險(xiǎn)管理作用的順利開展。風(fēng)險(xiǎn)控制主要包括六個(gè)方面，即基礎(chǔ)工作、責(zé)任機(jī)制、預(yù)防機(jī)制、通報(bào)機(jī)制、應(yīng)急機(jī)制、團(tuán)隊(duì)建設(shè)[2]。

　　2.3建立完善的信息安全風(fēng)險(xiǎn)管理體系

　　完善的信息安全風(fēng)險(xiǎn)管理體系，主要包括六個(gè)部分，有風(fēng)險(xiǎn)管理制度體系、標(biāo)準(zhǔn)規(guī)范體系、風(fēng)險(xiǎn)管理組織體系、風(fēng)險(xiǎn)管理策略體系、技術(shù)支持體系、應(yīng)急處置體系。風(fēng)險(xiǎn)管理制度體系是有效規(guī)范企業(yè)單位信息系統(tǒng)開發(fā)運(yùn)行等過程中的組織和個(gè)人行為的基礎(chǔ)，應(yīng)切實(shí)根據(jù)自身情況，針對(duì)風(fēng)險(xiǎn)管理控制中的薄弱環(huán)節(jié)，制定相應(yīng)的管理方式方法和規(guī)章制度，從而對(duì)關(guān)鍵過程進(jìn)行有效監(jiān)管。風(fēng)險(xiǎn)管理組織體系是指企業(yè)單位設(shè)置的專門的信息安全風(fēng)險(xiǎn)管理組織機(jī)構(gòu)，是將管理部門細(xì)化到具體崗位，保證信息安全風(fēng)險(xiǎn)管理工作順利開展的關(guān)鍵[3]。技術(shù)支持體系，是運(yùn)用網(wǎng)絡(luò)安全控制、系統(tǒng)安全控制、系統(tǒng)加密控制等高科技技術(shù)手段，建立不受外界侵害的保障系統(tǒng)，從而保證企業(yè)信息安全。除此之外，還必須建立健全的應(yīng)急處置體系，這是企業(yè)單位信息安全風(fēng)險(xiǎn)管理體系中最關(guān)鍵的部分，只有全面建立完善的信息安全風(fēng)險(xiǎn)管理體系，才能保證企業(yè)單位的信息安全。信息安全風(fēng)險(xiǎn)管理工作是一項(xiàng)長(zhǎng)期的工作，所涉及的范圍十分廣泛，其中包括員工和信息科技的每一個(gè)環(huán)節(jié)。信息安全風(fēng)險(xiǎn)管理體系只有在全員維護(hù)下，才能將安全體系落實(shí)到信息科技建設(shè)的具體環(huán)節(jié)，帶來真正意義上的信息安全。

　　參考文獻(xiàn)

　　[1]吳世忠.信息安全風(fēng)險(xiǎn)管理的動(dòng)態(tài)與趨勢(shì)[J].計(jì)算機(jī)安全,2007(5):1-7

　　[2]包同崗,趙捷琴,祁之強(qiáng).基于突變理論電網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)管理模型研究[J].山西電力,2014(4):45-49

　　[3]寇書華,何國(guó)偉.計(jì)算機(jī)信息安全管理探究[J].計(jì)算機(jī)安全,2013(3):74-76

【關(guān)于信息安全風(fēng)險(xiǎn)管理初探的論文】相關(guān)文章：

1.信息安全的風(fēng)險(xiǎn)評(píng)估論文

2.信息安全風(fēng)險(xiǎn)評(píng)估綜合管理系統(tǒng)設(shè)計(jì)的論文

3.信息系統(tǒng)項(xiàng)目安全風(fēng)險(xiǎn)管理探析論文

4.電子信息安全風(fēng)險(xiǎn)管理探討論文

5.信息安全風(fēng)險(xiǎn)管理理論

6.信息安全風(fēng)險(xiǎn)管理相關(guān)詞匯定義與解析論文

7.電力企業(yè)網(wǎng)絡(luò)和信息安全管理初探論文

8.關(guān)于醫(yī)院信息安全管理途徑論文